Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 декабря 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники в течение двух лет атаковали клиентов четырнадцати канадских банков с помощью фишинговых писем.

Атака начиналась с электронных писем, содержащих вложение в формате PDF с использованием официального логотипа банка и кода авторизации. Жертвам предлагалось как можно быстрее обновить свой цифровой сертификат, чтобы сохранить доступ к online-банкингу.

Нажав на любой из URL-адресов во вложенном документе, жертвы попадали на фишинговую страницу с просьбой ввести свои банковские учетные данные:

Злоумышленники просто сделали снимок экрана официального сайта и добавили невидимые текстовые поля поверх полей ввода, чтобы собрать учетные данные жертвы.

Попытавшись войти в систему, жертва попадала на страницу регистрации, где её просили ввести код авторизации, полученный в фишинговом письме:

После указания кода жертве предлагали подождать, пока идёт регистрация сертификата:

Используя введённые жертвами реквизиты для доступа к онлайн-банкингу, киберпреступники опустошали их счета.

Мошенники воруют данные банковских карт любителей «Звёздных войн» с помощью фишинга.
Скачать бесплатно новый эпизод фильма под названием «Звёздные войны: Скайуокер. Восход» предлагают более 30 мошеннических сайтов.

1. Такие сайты обычно используют официальное название фильма и подробное описание, чтобы заставить пользователей поверить в легальность источника. Это позволяет злоумышленникам выводить разработанные ими ресурсы в топ поисковой выдачи: они появляются первыми в результате поиска, если набирать название фильма и добавлять к нему «посмотреть бесплатно».
2. Для продвижения мошеннических сайтов злоумышленники создают также аккаунты в социальных сетях.
3. Помимо фишинга мошенники под видом фильма распространяют вредоносные программы, рекламное ПО и загрузчики, которые закрепляются в системе и показывают рекламу или предлагают установить дополнительные нежелательные программы.

Уязвимости и атаки

В Windows-клиенте Dropbox обнаружена уязвимость нулевого дня, которая позволяет получить максимальные привилегии на машине и открывает доступ к командной строке.

Проблема связана с механизмом обновления Dropbox, который работает как служба и отвечает за поддержание приложения в актуальном состоянии. Служба dropboxupdate записывает логи в папку C:\ProgramData\Dropbox\Update\Log, файлы в которой могут добавлять, удалять и перезаписывать обычные пользователи. Учетная запись SYSTEM выполняет вызов SetSecurity для расположенных там файлов, что открывает возможность эксплуатации через hard-ссылки.

Для проведения атаки необходимо с точностью до миллисекунды знать время записи очередного события. Оно указывается в имени файла, через который идет атака. Обойти это ограничение можно с помощью инструментов, созданных специалистами Google Poject Zero.

В SQLite обнаружены пять новых уязвимостей, позволяющих удалённо запустить произвольный код в браузере Chrome, а также привести к утечке памяти или сбою в работе.

Новые уязвимости CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752 и CVE-2019-13753 получили общее название Magellan 2.0. Они представляют опасность для любых приложений, использующих в работе SQLite, однако риски для пользователей Chrome выше из-за API-интерфейса WebSQL.

Проблемы Magellan 2.0 вызваны некорректной проверкой ввода в SQL-командах, которые база данных SQLite получает из сторонних источников. В результате злоумышленник может создать SQL-операцию, содержащую вредоносный код для выполнения команд.

Помимо Chrome рискам подвергаются и пользователи Opera.

В приложении Twitter для Android обнаружена опасная уязвимость, позволявшая злоумышленникам просмотреть закрытую информацию учётной записи и перехватить контроль над ней — отправлять твиты и личные сообщения.

Разработчики Twitter утверждают, что случаев эксплуатации уязвимости зафиксировано не было, а для получения доступа к личной информации пользователя злоумышленнику придется пройти «через сложный процесс, включающий вставку вредоносного кода в ограниченные области хранилища приложения Twitter».

Умные устройства

Из-за программной ошибки умная система торможения Mazda3 экстренно тормозит в самое неподходящее время.

Ошибка заставляет автомобили Mazda3 четвертого поколения во время поездки «видеть» несуществующие препятствия на пути и автоматически включать тормоза. Проблема затрагивает 35 390 автомобилей (модели 2019 и 2020 годов) в США, однако на данный момент производителю не известно о каких-либо связанных с ней несчастных случаях. Затронутые проблемой автомобили были отозваны Mazda.

На форуме Reddit сообщают, что машина может внезапно остановиться, включить сигнализацию и вывести на экран предупреждение. И хотя умную тормозную систему можно отключить, она автоматически включается каждый раз, когда водитель садится за руль.

Инциденты

В открытом доступе обнаружена незащищенная база Elasticsearch, содержащей данные 267 млн американских пользователей Facebook. В базе содержатся идентификаторы пользователей, номера телефонов и имена, причём просмотреть их может любой желающий.

Предположительно, база принадлежит вьетнамской киберпреступной группировке, а данные в ней собраны с помощью скрапинга и злоупотребления Facebook API. Информация использовалась для рассылки спама, проведения крупномасштабных фишинговых кампаний и другой вредоносной деятельности.

Сотрудник компании, обеспечивающей кибербезопасность американских военных, ежедневно приносил домой секретные документы на флешке, чтобы поработать с ними в более удобной обстановке.

О незаконных действиях стало известно, когда флешку неизвестного происхождения нашли на полу в закрытом офисе. Обнаруживший её сотрудник отнёc накопитель в отдел безопасности, в котором выяснили, что на устройстве хранились документы с пометкой «секретно», а также персональные материалы легкомысленного сотрудника, в том числе файл «популярной коммерческой видеоигры».

В итоге нарушитель признал, что копировал на флешку секретные документы, приносил домой и загружал на личный компьютер у себя в подвале. Закончив работу, он копировал файлы на внешний накопитель, стирал со своего компьютера все следы их существования, загружал на флешку готовый проект и приносил на работу.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 декабря 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости и атаки

Системы распознавания лиц в платежных терминалах Alipay и WeChat, а также системы на пограничном пункте в Китае и в аэропорту Амстердама удалось обмануть с помощью трёхмерной маски.

Используя реалистичную маску, оказалось возможно проходить пункты контроля в аэропортах или совершать покупки под видом другого человека.

Однако не все технологии распознавания лиц оказались уязвимы. Например, обмануть системы биометрической идентификации Huawei и Apple Face ID не удалось, поскольку в них задействованы более сложные технологии.

Новая уязвимость WhatsApp позволяет вызвать сбой приложения у всех участников целевого чата путём отправки в беседу вредоносного сообщения.

Пострадавшим приходилось удалять и скачивать мессенджер заново, но это всё равно не давало возможности вернуться в чат. В итоге приходилось удалить сам чат с потерей сообщений.

Проблема — в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Каждое послание в чат содержит идентификаторы отправителя — имя и номер телефона. Номер телефона — это последовательность цифр длиной от 5 до 20 символов. Если выйти за пределы этого диапазона или подставить вместо номера текстовую строку, парсер прочтет его как пустую переменную.

Не получив требуемого параметра, WhatsApp прекратит работу на всех устройствах, владельцы которых являются участниками чата. Программа будет выдавать ошибку при повторном запуске и сможет продолжить работу только после переустановки и удаления канала, содержащего вредоносное сообщение.

В механизме обмена файлами мессенджера Slack обнаружена уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации.

Уязвимость проявляется в том, что любой участник закрытого чата имеет возможность переслать выложенные там посты и сниппеты в публичные каналы, где они станут доступны всем пользователям рабочего пространства. Данные остаются в общем чате даже если автор применил функцию unsharing, которая должна заблокировать доступ. Эксплуатация уязвимости возможна не только через графический интерфейс мессенджера, но и при использовании API приложения.

Разработчики Slack не собираются исправлять работу программы, объясняя это тем, что проблема касается лишь двух опций для расшаривания объемного контента — Posts и Snippets, в то время как большинство файлов, которыми пользователи обмениваются в Slack, к этим типам не относится.

Сайты, почта и мессенджеры

Facebook признала, что следит за местоположением пользователей даже при отключении GPS-службы.

.@Facebook admits it. Turn off “location services” and they’ll STILL track your location to make money (by sending you ads). There is no opting out. No control over your personal information. That’s Big Tech. And that’s why Congress needs to take action https://t.co/R1LuLcP1LP

— Josh Hawley (@HawleyMO) December 17, 2019

По словам представителей компании, отслеживание местоположения пользователей используется для таргетированной рекламы.

Facebook может собирать геоданные пользователей из контекстных подсказок, таких как отмеченные места на фотографиях и даже IP-адреса мобильных устройств. Хотя эти данные не так точны, как информация с включенным «отслеживанием местоположения», они позволяют оповещать пользователей об авторизации в учетной записи из другого места и предотвращают распространение ложной информации.

Практически все объявления в Facebook ориентированы на местоположение, хотя чаще всего реклама ориентирована на людей из определенного города или более крупного региона. В противном случае люди в Вашингтоне, округ Колумбия, будут получать рекламу услуг или мероприятий в Лондоне, и наоборот.

— Представители Facebook

Инциденты

Компания LifeLabs сообщила о том, что злоумышленники взломали системы компании, извлекли данные о клиентах и потребовали выкуп за возвращение информации.

В результате атаки в руках преступников оказалась информация 15 млн клиентов LifeLabs, включая их имена, домашние адреса, адреса электронной почты, имена пользователей, пароли и номера медицинских карт. В 85 000 случаев данные клиентов также включали результаты проведенных лабораторных исследований. Вся информация была датирована 2016 годом и ранее.

Чтобы вернуть данные, компания заплатила злоумышленникам выкуп, сумма которого не разглашается.

Аналитика

Опубликованы 200 самых распространенных и наименее безопасных паролей, сформированный на основе базы данных, содержащей около 500 млн утёкших в 2019 паролей.

Тремя наиболее часто используемыми паролями оказались 12345, 123456 и 123456789, которые были выявлены в базе данных в общей сложности 6 348 704 раз. Данные пароли являются чрезвычайно ненадежными и полностью предсказуемыми, позволяя злоумышленникам легко взломать учетные записи путем простого перебора.

Топ-10 худших паролей 2019 года

И хотя с распространённостью паролей из тройки лидеров сложно поспорить, популярность паролей zinch и g_czechout вызывает сомнения.

«Умные» устройства

Разработан способ взлома RSA-сертификатов с использованием недостатков программной реализации криптографических методов.

RSA-сертификаты используются для защиты IoT-устройств и сайтов. В основе криптографического алгоритма RSA лежат операции умножения простых чисел. Для взлома требуется решить математическую задачу высокой сложности — выполнить факторизацию ключа. Считается, что эта задача нерешаема за приемлемое время на сегодняшнем уровне развития технологий до появления полноценных квантовых компьютеров.

Разработанный метод взлома использует особенности реализации поиска множителей для получения ключа. Получение по-настоящему случайного числа требует немалых ресурсов, которыми не располагают многие современные устройства, особенно в сфере Интернета вещей, поэтому разработчики сокращают выборку чисел, чтобы ускорить выполнение операций, сокращая энтропию при выборе чисел.

После проверки выяснилось, что в RSA-ключах достаточно часто используются повторяющиеся множители. Такая коллизия значительно упрощает взлом шифра, поскольку злоумышленнику достаточно найти наибольший общий делитель для двух известных ему ключей, чтобы получить значение первого простого числа, по которому можно будет определить и второе.

Анализ 75 млн ключей выявил общие множители у 435 тыс. сертификатов. Это позволяет взломать приватные ключи и скомпрометировать зашифрованные данные.

Подбор множителей упрощается с увеличением исходной базы сертификатов. Такие данные можно купить в Интернете или собрать бесплатно. Расходы на анализ 75 млн ключей не превысили 3 000 долларов США.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 декабря 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Авторы новой фишинговой кампании против пользователей Office 365 пытаются установить на устройство вредоносный плагин с широким набором разрешений.

1. Атака начинается с электронного письма, замаскированного под сообщение службы Microsoft OneDrive со ссылкой на файл.
2. В тексте письма и названии документа используются сведения, знакомые получателю.
3. Реальный адрес отправителя замаскирован под данные одного из сотрудников целевой организации.
4. Письмо не содержит прикрепленных объектов и способно успешно миновать антивирусные фильтры почтового сервера.
5. Ссылка на файл в тексте письма на самом деле представляет собой запрос на установку дополнительной утилиты для Office 365. Такие надстройки используются для расширения функций приложений, входящих в состав офисного пакета, могут быть созданы сторонними разработчиками и загружаться с принадлежащих им ресурсов.

Если получатель письма не был аутентифицирован в Office 365, то при переходе по ссылке откроется легитимный диалог ввода логина и пароля аккаунта Microsoft.

После входа происходит запуск процесса установки, при этом вспомогательное приложение запрашивает разрешения, согласившись с которыми, пользователь предоставляет мошенникам возможность:

• читать, изменять и удалять доступные файлы, а также создавать новые документы;
• читать электронные письма;
• изменять настройки электронной почты, в том числе создавать правила переадресации;
• просматривать записные книжки OneNote, доступные в рамках аккаунта;
• копировать список контактов.

Кибермошенники похитили у китайской венчурной компании 1 млн долларов США с помощью мошенничества с электронными письмами.

1. Злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов.

2. Специально для кампании мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй — венчурной компании. Единственное отличие от настоящих организаций — дополнительная буква «s» в названии каждой из них.

3. Каждое письмо от обеих сторон на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они провели атаку «человек посередине», не взламывая электронную почту ни одной из сторон переговоров.

4. Когда 1 млн долларов был переведен злоумышленникам, настоящий стартап обнаружил, что деньги не получил, а инвестиционная компания поняла, что стала жертвой обмана.

Всего было отправлено 18 писем в сторону китайской компании и 14 — израильскому стартапу.

Авторы фишинговой кампании против любителей игры Elder Scrolls Online маскируют письма под сообщения от разработчиков, чтобы похитить учётные записи игроков.

1. Преступники рассылают в случайном порядке личные сообщения, в которых предупреждают геймеров о проблеме безопасности и требуют подтвердить свои учётные данные, предоставив логин, пароль и дату рождения.
2. Жертву убеждают, что для предоставление информации у неё есть только 15 минут, иначе учётную запись заблокируют.
3. Стремясь придать письмам легитимный вид, фишеры используют онлайн-псевдоним ElderScrollDevs.

Уязвимости и «умные» устройства

Обнаружена уязвимость в iPhone AirDrop, эксплуатация которой позволяет многократно отправлять файлы на все ближайшие iPhone, настроенные на прием файлов от любых устройств.

При получении файла iOS блокирует экран смартфона, пока пользователь не примет или не отклонит запрос. Но поскольку iOS не ограничивает количество файловых запросов, преступник может продолжать спамить файлами, блокируя устройство пользователя.

Чтобы остановить атаку нужно выйти из зоны действия атакующего устройства либо отключить AirDrop, Wi-Fi или Bluetooth.

Уязвимость в прошивке смарт-замков KeyWe GKW-2000D позволяет проникать в жилище посторонним.

Замок открывается несколькими способами: через мобильное приложение (Wi-Fi, Bluetooth), браслет (NFC), непосредственно через тачпад (путем введения кода) или с помощью обычного ключа. Устройство также позволяет устанавливать одноразовые коды для гостей и открывать двери в зависимости от расстояния, на котором находится желающий войти.

Уязвимость в протоколе обмена ключами позволяет узнать закрытый ключ для открытия двери, используя снифер Bluetooth LE стоимостью 10 долларов США.

Главная проблема состоит в том, что в замках KeyWe не предусмотрено обновление прошивки, а потому устранить уязвимость будет очень сложно.

Обнаружена новая уязвимость процессоров Intel, получившая название Plundervolt. Проблема проявляется в том, что из-за пониженного напряжения процессора технология Secure Enclave становится уязвимой к атакам.

Используя интерфейс для настройки напряжения и частоты процессора из операционной системы, можно изменить данные внутри SGX (Software Guard Extensions), что приведёт к ошибкам. После того как данные покинут защищённую область, потенциальный атакующий сможет восстановить ключи шифрования или создать бреши в защищённом программном обеспечении.

Ошибка затрагивает десктопные, серверные и мобильные процессоры:

• Intel Core 6, 7, 8, 9 и 10 поколения,
• Intel Xeon Processor E3 v5 и v6,
• Intel Xeon Processor E-2100 и E-2200.

В камерах видеонаблюдения Amazon Blink XT2 обнаружено 7 опасных уязвимостей, эксплуатация которых позволяет злоумышленникам дистанционно получить полный контроль над устройствами.

Уязвимость внедрения команд CVE-2019-3984 связана с механизмом обновления модуля синхронизации. При проверке обновлений устройство сначала получает из интернета скрипт обновления (sm_update), а затем запускает содержимое данного скрипта без какой-либо очистки. Cкрипт обновления удалённо передает информацию напрямую функции os.execute() без подтверждения. Злоумышленник может осуществить атаку «человек посередине» через отравление кэша DNS или взлома, чтобы изменить содержимое данного скрипта.

Уязвимость CVE-2019-3989 связана с некорректной проверкой входных данных в функции get_network (). Вызвав переполнение буфера, злоумышленник может удаленно выполнить код с правами суперпользователя.

Остальные обнаруженные уязвимости также связаны с отсутствием проверки пользовательских данных, передаваемых скриптам, что также позволяет использовать их для повышения привилегий и выполнения команд с правами root.

Вредоносное ПО

Авторы шифровальщика Snatch используют перезагрузку компьютеров своих жертв в безопасном режиме — Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов.

Они используют тот факт, что большинство антивирусных решений не работают в безопасном режиме Windows.

Snatch #malware presents an interesting case: The threat actors behind the attacks trawl through hard drives looking for sensitive data to steal, then they install ransomware in a way that breaks most endpoint protection https://t.co/ZsnH8oJWiW

— Andrew Brandt (@threatresearch) December 9, 2019

Вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode.
Шифровальщик не атакует обычных пользователей, направляя удар на крупные компании, общественные или правительственные организации.

Проникнув в сеть, операторы Snatch несколько дней или недель изучают цель, получают доступ к контроллеру домена, чтобы распространить вредоноса на максимально возможное количество компьютеров. Для этого используются известные пентестерские инструменты: Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec. Подозрения у защитных механизмов и антивирусов эти легитимные решения, как правило, не вызывают.

Инциденты

10 декабря в одной из социальных сетей были опубликованы данные 15 млн дебетовых карт, выданных банками Ирана.

Утечка затронула клиентов трех иранских банков, что в общей сложности составило пятую часть всего населения Ирана. Это крупнейшее банковское мошенничество в истории Ирана.

Министр информации и телекоммуникаций Ирана Мохаммад Джавад Азари Джахроми заявил, утечка произошла по вине недовольного подрядчика, имевшего доступ к данным и опубликовавшего их с целью вымогательства, и заверил, что банковские системы взломаны не были, однако ИБ-эксперты не согласны с ним.

В открытом доступе обнаружена база, содержащая более терабайта незащищенных пользовательских данных, хешированных паролей и корпоративных документов. Утечка коснулась нескольких крупных компаний, включая GE, Xerox, Nasdaq и Dunkin’.

Причиной инцидента стали неправильные настройки облачного хранилища Amazon. Контейнер с данными представлял собой внутреннюю базу платформы, с которой работают заказчики iPR Software. Ее содержимое включало:

• 477 тыс. контактов СМИ,
• более 35 тыс. хешированных паролей,
• резервные копии баз MongoDB,
• администраторские учётные данные,
  корпоративные документы и прочие файлы.

Кроме того в хранилище обнаружились данные для доступа к сторонним сервисам, включая учетную запись iPR Software в Twitter и некий ключ Google API.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.